Vulnerabilidad en quickjs-ng (CVE-2025-46688)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/04/2025
Última modificación:
30/05/2025
Descripción
Las versiones quickjs-ng hasta la 0.9.0 tienen un cálculo de tamaño incorrecto en JS_ReadBigInt para un BigInt, lo que provoca un desbordamiento de búfer basado en el montón. Las versiones QuickJS anteriores al 26/04/2025 también se ven afectadas.
Impacto
Puntuación base 3.x
5.60
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:quickjs-ng:quickjs:*:*:*:*:*:*:*:* | 0.9.0 (incluyendo) | |
| cpe:2.3:a:quickjs_project:quickjs:*:*:*:*:*:*:*:* | 2025-04-26 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bellard.org/quickjs/Changelog
- https://github.com/bellard/quickjs/commit/1eb05e44fad89daafa8ee3eb74b8520b4a37ec9a
- https://github.com/bellard/quickjs/issues/399
- https://github.com/quickjs-ng/quickjs/commit/28fa43d3ddff2c1ba91b6e3a788b2d7ba82d1465
- https://github.com/quickjs-ng/quickjs/issues/1018
- https://github.com/quickjs-ng/quickjs/pull/1020
- https://github.com/quickjs-ng/quickjs/issues/1018